1. Οι φορείς του δημόσιου τομέα παρέχουν υπηρεσίες ηλεκτρονικής διακυβέρνησης με σεβασμό του δικαιώματος προστασίας προσωπικών δεδομένων και ιδιωτικότητας.
2. Ο σχεδιασμός, η διαμόρφωση και η προμήθεια πληροφοριακών συστημάτων και υπηρεσιών ηλεκτρονικής διακυβέρνησης πρέπει να γίνεται, λαμβάνοντας υπόψη το δικαίωμα προστασίας των προσωπικών δεδομένων και την ανάγκη διαμόρφωσης των συστημάτων και υπηρεσιών κατά τρόπο ώστε να διασφαλίζεται η επεξεργασία όσο το δυνατόν λιγότερων δεδομένων προσωπικού χαρακτήρα.
3. Κατά τον σχεδιασμό, διαμόρφωση και προμήθεια πληροφοριακών συστημάτων και υπηρεσιών ηλεκτρονικής διακυβέρνησης γίνεται αξιολόγηση των επιπτώσεών τους στην ιδιωτικότητα και στην προστασία προσωπικών δεδομένων.
Στο άρθρο 7 εμφανίζεται το ίδιο πρόβλημα με το άρθρο 4 § 1 του προσχεδίου νόμου (εφεξής ΠρσχΝ), γίνεται δηλ. λόγος σε μία γενική αρχή του δικαίου, η οποία τυγχάνει πολλαπλής κατοχύρωσης, στο δίκαιο της Ευρωπαϊκής Ένωσης, πρωτογενές (άρθ. 16 Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης) και παράγωγο (Οδ. 95/46/ΕΚ), στο ελληνικό νομοθέτημα για την εναρμόνιση με το παράγωγο δίκαιο της Ευρωπαϊκής Ένωσης (Ν. 2472/1997) και το Σύνταγμα (άρθ. 9Α). Η μνεία της αρχής αυτής δεν είναι σκόπιμη σε ένα ειδικό νομοθέτημα, όπως το παρόν προσχέδιο νόμου, γιατί εγκυμονεί τον κίνδυνο της περαιτέρω καλλιέργειας στους κύκλους των υπαλλήλων του δημοσίου τομέα της κουλτούρας της εγκυκλίου και της τυπικής νομιμότητας, της κουλτούρας δηλ. εκείνης στο πλαίσιο της οποίας οι υπάλληλοι εφαρμόζουν μόνο ό,τι τους έχει ρητά γνωστοποιηθεί και κρύβονται πίσω από τη διατύπωση του νόμου, που ερμηνεύουν συνήθως κατά το δοκούν, παραβλέποντας πλήρως την ισχύ άλλων νόμων, ακόμα και του Συντάγματος, διεθνών συμβάσεων και του δικαίου της Ευρωπαϊκής Ένωσης. Κατά συνέπεια είναι προτιμότερο να απαλειφθεί τελείως το άρθρο 7, αφού το κανονιστικό του βεληνεκές καλύπτεται πλήρως από την υφιστάμενη νομοθεσία, στην οποία δεν προσθέτει τίποτα.
ΣΙΜΟΣ Ι. ΣΑΜΑΡΑΣ – Δικηγόρος
Υπ. Διδάκτορας Νομικής Πανεπιστημίου Αθηνών
http://www.nomologio.wordpress.com
Το Ινστιτούτο Ελέγχου Συστημάτων Πληροφορικής – ISACA Athens Chapter δραστηριοποιείται στην Ελλάδα από το 1994 και αποτελεί το Ελληνικό παράρτημα του διεθνούς οργανισμού ISACA International, με περισσότερα από 95000 μέλη παγκοσμίως. Το Ινστιτούτο έχει μη κερδοσκοπικό χαρακτήρα, αριθμεί σήμερα 349 μέλη στην Ελλάδα και δραστηριοποιείται στους τομείς του ελέγχου, ασφάλειας και διακυβέρνησης πληροφοριακών συστημάτων, υποστηρίζοντας τα μέλη του καθώς και τα πρότυπα και επαγγελματικές πιστοποιήσεις του ISACA.
Προτείνουμε να συμπεριληφθεί πρόληψη για την χρήση / αξιοποίηση διεθνώς αναγνωρισμένων προτύπων και βέλτιστων πρακτικών (π.χ. CobiT) κατά το σχεδιασμό, διαμόρφωση και προμήθεια πληροφοριακών συστημάτων. Επιπλέον, προτείνεται να περιληφθεί πρόβλεψη για την περιοδική αξιολόγηση / έλεγχο των σχετικών πληροφοριακών συστημάτων και των δικτυακών τόπων από πιστοποιημένα στελέχη (π.χ. Certified Information Systems Auditors – CISA), έτσι ώστε να εξασφαλίζεται ότι καλύπτονται οι στόχοι και οι προδιαγραφές του, κυρίως δε οι σχετικοί κίνδυνοι ασφάλειας με τη χρήση επαρκών και αποτελεσματικών δικλείδων ασφαλείας, σύμφωνα με διεθνή ελεγκτικά πρότυπα. Ειδικότερα οι δικτυακοί τόποι θα πρέπει να υπόκεινται σε περιοδικές δοκιμές εισβολής (internal and/or external penetration testing) και ελέγχους ασφάλειας από πιστοποιημένα στελέχη, έτσι ώστε να εντοπίζονται αδυναμίες ασφάλειας και να βελτιώνεται ο βαθμός προστασίας προσωπικών δεδομένων και των σχετικών εγγράφων.
Ένα από τα μεγάλα μειονεκτήματα της ψηφιοποίησης δεδομένων είναι η το αμφίβολο της ασφάλειάς τους. Από τη στιγμή που κάποιος ψηφιοποιησει προσωπικά του δεδομένα στο διαδίκτυο, πχ facebook τα δεδομένα του είναι στη διάθεση του καθενός. Άραγε η Ελλάδα έχει προχωρήσει τόσο πολύ σε αλγόριθμους κρυπτογράφησης πληροφοριών ώστε να είναι σε θέση να διασφαλίσει την ασφάλεια όλων αυτών των ευαίσθητων δεδομένων που θα αποθηκεύονται για κάθε άτομο; Τη στιγμή που σε χώρες πολύ περισσότερο προοδευμένες τεχνολογικά όπως οι ΗΠΑ και η Γερμανία τα παραδείγματα των hackers σε μεγάλες εταιρείες και Πανεπιστήμια πληθαίνουν;Νομίζω ότι σε καμιά περίπτωση κανείς δεν μπορεί να μας υποσχεθεί την ασφάλεια των ψηφιοποιημένων μας προσωπικών δεδομένων με αποτέλεσμα να μπαίνουμε σε ένα επικίνδυνο ρίσκο…
Διαφωνώ κάθετα με την ηλεκτρονική διακυβέρνηση γιατί τη θεωρώ παγκόσμια δικτατορία και στέρηση των προσωπικών ελευθεριών.
Για όσους αμφισβητούν την ηλεκτρονική διακυβέρνηση με δικαιολογία τη μείωση της προστασίας και της ασφάλειας των προσωπικών δεδομένων εξαιτίας του νέου μέσου, καλείστε να συλλογιστείτε με ποιόν τρόπο αυτά διασφαλίζονται έως σήμερα από το παραδοσιακό τρόπο παροχής δημόσιων υπηρεσιών και τους λειτουργούς τους… πέρα βέβαια από το γεγονός ότι συχνά τα στοιχεία σας είναι καλά ασφαλισμένα – η καλύτερα καλά χαμένα – σε κάποιο αρχείο στο υπόγειο των δημόσιων υπηρεσιών.
Είναι σημαντική η διασφάλιση της προστασίας των προσωπικών δεδομένων αλλά απο ποιούς; Ποιός θα μας διασφαλίσει απο την αυθαιρεσία της όποιασδήποτε υπηρεσίας; Υφίστανται ασφαλιστικές δικλείδες στο σύστημα ώστε ο κάθε πολίτης να μπορεί ανα πάσα στιγμή να λαμβάνει πληροφορίες για τη χρήση των προσωπικών του δεδομένων απο τις δημόσιες υπηρεσίες, όποιες και αν είναι αυτές;
Αποσπάσματα από τις:
«ΠΡΟΤΑΣΕΙΣ (του) ΚΑΘΗΓΗΤΗ Κ. ΔΗΜΗΤΡΙΟΥ ΤΣΕΛΕΓΓΙΔΗ ΠΡΟΣ ΤΗΝ ΣΥΝΟΔΙΚΗ ΕΠΙΤΡΟΠΗ… ΤΗΣ ΕΚΚΛΗΣΙΑΣ ΤΗΣ ΕΛΛΑΔΟΣ ΓΙΑ ΤΗΝ ΚΑΡΤΑ ΤΟΥ ΠΟΛΙΤΗ»
http://fotistsakiris.blogspot.com/2011/01/blog-post_20.html
Γνωρίζουμε πολύ καλά ότι η «Κάρτα του Πολίτη» εντάσσεται στο πλαίσιο του νομοθετήματος της Συνθήκης Schengen (1997).. που επιχειρήθηκε να εφαρμοστεί ανεπιτυχώς επί του υπουργού κ. Αγ. Κουτσόγιωργα…. Και ενώ στο νομοθέτημα υπάρχουν όλες οι πτυχές του ηλεκτρονικού ελέγχου, της διατηρήσεως αρχείων κ.λ.π., απουσιάζει προκλητικά από τη Συνθήκη αυτή ο τρόπος εφαρμογής της. Δηλαδή με ποιον τρόπο ή με ποιο σύστημα θα γίνεται η ηλεκτρονική συλλογή των δεδομένων των πολιτών στην αρχική και στην τελική φάση (θα αρχίσει λ.χ. με την κάρτα, για να συνεχίσει με την εμφύτευση μικροτσίπ και τελικώς με το χάραγμα;)…
Στο πλαίσιο θεσπίσεως της Συνθήκης Schengen συζητήθηκε και ο τρόπος εφαρμογής της και κατατέθηκαν συγκεκριμένες προτάσεις. Συνημμένως καταθέτουμε ένα CD, (του οποίου το περιεχόμενο μπορείτε να ακούσετε εδώ: (http://www.youtube.com/watch?v=gsBHZCnQBLI) 3ο λεπτό) όπου επιβεβαιώνεται ο παραπάνω ισχυρισμός μας από την παρέμβαση του Νομικού Συμβούλου της Ελλάδος στις Βρυξέλλες το 1997 κ. Γ. Κλοτσώνη σε ραδιοφωνική εκπομπή του π. Κων/νου Στρατηγόπουλου στις 15-6-1997, όπου ενημερώνει ότι στα πλαίσια της συζητήσεως της Συνθήκης Schengen προτάθηκε ως τρόπος εφαρμογής της Συνθήκης το χάραγμα στο μέτωπο ή στο χέρι!!…
Υποστηρίζεται εσφαλμένως και καθησυχαστικά, ότι όσα αφορούν τη συλλογή, επεξεργασία και διάδοση πληροφοριών του πολίτη γίνονται, αφού προηγουμένως έχει θεσπιστεί ο Εθνικός Νόμος 2472/97, περί προστασίας των προσωπικών δεδομένων, ο οποίος έγινε στο πλαίσιο της προστασίας του πολίτη από τους κινδύνους που ενέχει το νομοθέτημα της Συνθήκης Schengen.
Εδώ όμως ακριβώς έγινε εξαπάτηση του πολίτη. Και τούτο, γιατί η Συνθήκη Schengen ανήκει στο Πρωτογενές Δίκαιο, ενώ ο Νόμος 2472/97 ανήκει στο Εθνικό Δίκαιο και μάλιστα στο τριτογενές. Συνεπώς, ένα τριτογενές Δίκαιο δεν μπορεί να υπερισχύσει του πρωτογενούς.
Γεννάται εύλογα το ερώτημα: γιατί το περιεχόμενο του Νόμου 2472/97 δεν ενσωματώθηκε στη Συνθήκη Schengen, ώστε να έχει κύρος πρωτογενούς Δικαίου; Ας μη μας λένε, λοιπόν, ότι ο Νόμος 2472/97 έγινε για να προστατεύσει τον πολίτη από κινδύνους της Συνθήκης Schengen. Και συνεπώς δεν είναι δυνατόν να προωθούν συστήματα ηλεκτρονικής συλλογής δεδομένων χωρίς να υφίσταται νόμος προστασίας του πολίτη που να εκπηγάζει από το Πρωτογενές Δίκαιο.
Όποια εξέλιξη και να έχει ο αυτοματισμός στις διαδικασίες των δημοσίων υπηρεσιών ,δεν πρέπει να αντικατασταθεί το γνήσιο της υπογραφής με υπογραφή ηλεκτρονική ή με αριθμό τύπου (PIN).
Ο αυτοματισμός θα πρέπει να λειτουργεί ενδουπηρεσιακά αλλά οι τελικές πράξεις που θέτουν σε ισχύ οποιοδήποτε έγγραφο του δημοσίου θα πρέπει να τελούνται από ανθρώπους. Τον ενδιαφερόμενο Έλληνα πολίτη και τον αντιπρόσωπο του Ελληνικού δημοσίου.
Οι περισσότεροι νέοι γνωρίζουμε ότι το δίκτυο είναι τρωτό κατά παραγγελία,ενώ πρόσφατα είναι τα γεγονότα απώλειας ηλεκτρονικών δεδομένων από δημόσια κτίρια. Αυτό δημιουργεί την ανάγκη για την πιστοποίηση των τελικών πράξεων χειρωνακτικά και αμοιβαία από τα δυο μέρη.
Υπενθυμίζω ,τελειώνοντας, την Αποκάλυψη του Ιωάννη ,όπου η εφαρμογή του αριθμού του «ασώματου» αναφέρεται και μέσω της ηλεκτρονικής τεχνολογίας επιχειρείται η εισαγωγή του στα ανθρώπινα μητρώα του Ελληνικού δημοσίου πράγμα καταδικαστέο από το 96% των Ελλήνων.
Δεν πρέπει να συσχετιστεί ,ο αριθμός αριθμός με όποια κωδικοποίηση του, με τα μητρώα Ελλήνων του Ελληνικού δημοσίου.
Ευχαριστώ.
Έχω την αίσθηση οτι στην Ελλάδα ακόμα η χρήση των νέων τεχνολογιών στις δημόσιες υπηρεσίες ως τρόπος επικοινωνίας και συναλλαγής υστερεί αρκετά σε σχέση με τις υπόλοιπες χώρες της Ευρώπης, είτε λόγω ανεπάρκειας γνώσεων είτε λόγω μη προσαρμοστικότητας σε αυτές.Σπανιότατα έχω λάβει απάντηση μέσω e-mail απο δημόσια υπηρεσία.
Θεωρώ οτι πρέπει να γίνουν πολλά βήματα ακόμα ώστε να εξοικειωθούμε με τις νέες τεχνολογίες.
Ωστόσο θα πρέπει να δημιουργηθεί ένα νομικό πλαίσιο που να καθορίζει τις συναλλαγές με το Δημόσιο, να προστατεύονται σε κάθε περίπτωση προσωπικά δεδομένα και κυρίως να προβλέπεται η αντίμετώπιση του λεγόμενου ηλεκτρονικού εγκλήματος.Όλοι γνωρίζουμε τα φαινόμενα που παρατηρούνται με τις τραπεζικές συναλλαγές μέσω διαδικτύου και τα θύματα του ηλεκτρονικού εγκλήματος στη χώρα ολοένα αυξάνονται.
Είναι για παράδειγμα πάρα πολύ εύκολο για κάποιον που διαθέτει τις απαιτούμενες γνώσεις να εντοπίσει την ηλεκτρονική διεύθυνση του καθενός και να στέλνει e-mail με ψεύτικο αποστολέα με σκοπό να παραπλανήσει και αποσπάσει χρήματα ή άλλα προσωπικά δεδομένα. Επομένως και μία τάση δυσπιστίας των πολιτών απέναντι στο διαδίκτυο είναι δικαιολογημένη.
Είναι λοιπόν, πιστεύω, επιτακτική η ανάγκη ίδρυσης ή ενίσχυσης ενός ΚΡΑΤΙΚΟΥ φορέα που να επιλαμβάνεται τέτοιων θεμάτων. Χρειάζεται όμως μεγάλη τεχνογνωσία και εμπειρία – και δεν γνωρίζω αν υπάρχει στην Ελλάδα – και φυσικά η συνεργασία με αντίστοιχους φορείς στο εξωτερικό.
Το πρόβλημα δεν είναι το να αλληλογραφείς με αυτόν τον τρόπο κάτι που γίνετε και σήμερα και μάλιστα δίχως τον παρόντα νόμο.
Αλλά η δυσκολία είναι ότι κυρίως σχεδόν όλα τα υπουργεία δεν απαντούν στην ηλεκτρονική λειτουργία και δεν απαντούν ότι έλαβαν τουλάχιστον την επιστολή που τους έστειλες και αυτό θα είναι το απαράδεχτο αν συνεχιστή και με αυτήν την νομοθεσία που αυτό θα πρέπει να εξασφαλιστεί .Είναι μια απλή παρατήρηση αλλά είναι σοβαρή όταν όλες οι υπηρεσίες δεν απανωτούς ,ακόμη και το ΣΔΟΕ δεν απαντά. ..
Το θέμα των προσωπικών δεδομένων καθώς και της διακίνησης τους, είναι ίσως το πιο σημαντικό σε όλο αυτό το εγχείρημα. Στοιχεία για τους πολίτες θα κινούνται ενδο-υπηρεσιακά και θα δίνονται σε ανθρώπους που τα μόνα διαπιστευτήρια τους θα είναι , είτε ηλεκτρονική ταυτότητα και κωδικός (θα πρότεινα και κάποιους είδους token ή certificate), είτε σε ανθρώπους εκτός υπηρεσιών που θα ταυτοποιούνται/εισάγονται στα συστήματα απο κάποιον ιστοχώρο/portal.
Θεωρώ οτι θα πρέπει να δοθεί ιδιαίτερη έμφαση στο κλασσικό 4Π, (που πότε ποιός πως) και να υπάρξει καταγραφή κινήσεων, ιστορικού σε παράδοση/παραλαβή διαβαθμισμένων εγγράφων καθώς και ισχυροποίηση προστασία για περιπτώσεις data leakage , έτσι ώστε να υπάρξει πλήρη στεγανοποιήση και φιλτράρισμα στο θέμα απόδοσης και αποθήκευσης προσωπικών δεδομένων. Ειδικά στο τελευταίο (αρχεία καταγραφής κίνησης, ιστορικό) δεν έχω δεί κάποια αναφορά εκτός και αν μου διέφυγε κάτι.
Το θέμα ασφάλειας για μένα σε αυτό το έργο είναι άκρως σημαντικό , πέρα απο την λειτουργικότητα που σίγουρα είναι η αιτία.
Πόσο ασφαλές θεωρείται το διαδίκτυο; Δύσκολα θα απαντηθεί ένα τέτοιο ερώτημα… Ενδεχομένως, κάποιες παροχές πιστοποιημένων εγγράφων να πραγματοποιούνται ηλεκτρονικά. Όμως, τίθεται ένα ζήτημα: Η αποθήκευση, στο mail account (gmail, yahoo, κ.λ.π) προσωπικών δεδομένων πολιτών από στοιχεία που λαμβάνουν οι χρήστες αποδέκτες από διάφορους κρατικούς φορείς. Όπως γνωρίζουμε, η προσωπική αλληλογραφία διακινείται κυρίως από υπηρεσίες ηλεκτρονικού ταχυδρομείου οι οποίες εδρεύουν στο εξωτερικό και παρέχονται από servers του εξωτερικού. Στην περίπτωση αυτή εμπλέκεται και η νομοθεσία μιας άλλης χώρας, η οποία πιθανόν να μη τηρεί τους ίδιους κανόνες προστασίας προσωπικών δεδομένων ή, να μην έχει την ίδια νομοθετική πρόβλεψη. Επειδή, λοιπόν, πρόκειται για επισφαλή διαδικασία, αφού είναι στα χέρια ιδιωτών, μήπως είναι καλύτερα να δημιουργηθεί ένας παροχέας account του δημοσίου μέσα από τον οποίο ο χρήστης θα μπορεί να διακινεί και να αποθηκεύει την διακινούμενη αλληλογραφία με το δημόσιο, αποκλειστικώς;